Accord de Traitement des Données (ATD)

§ 1 Objet et Durée

Le Sous-traitant met à disposition la plateforme SaaS « Bookicorn » pour la gestion des réservations de cours, des données clients et des transactions. Le traitement dure pour la durée du contrat d'utilisation (CGU). Cet accord prend fin avec le contrat principal.

§ 2 Nature, Finalité et Portée

Le Sous-traitant traite les catégories de données suivantes pour le compte du Responsable :

• Données de base : Nom, email, téléphone des clients finaux du studio
• Données de réservation : cours réservés, rendez-vous, annulations, historique
• Données de paiement : IDs de transaction, statut de paiement (pas de données de carte complètes)
• Données d'accès : mots de passe chiffrés, jetons de session
• Données de communication : emails, messages de chat
• Données techniques : adresses IP, informations sur le navigateur

Personnes concernées : clients finaux du studio, formateurs, exploitants du studio.

§ 3 Obligations du Sous-traitant

Le Sous-traitant s'engage à :

• Traiter les données uniquement sur instruction documentée du Responsable
• Assurer la confidentialité des personnes impliquées
• Mettre en œuvre des mesures techniques et organisationnelles appropriées (MTO) selon l'Art. 32 RGPD
• Assister le Responsable dans l'exercice des droits des personnes concernées
• Notifier les violations de données conformément à l'Art. 33 RGPD
• Supprimer toutes les données après la fin du contrat (sauf obligations légales de conservation)

Le traitement comprend notamment : le stockage et la gestion des données des clients finaux dans la base de données, le traitement des transactions de réservation et de paiement, l'envoi de notifications par email pour le compte du studio, la mise à disposition du système de chat pour la communication, la génération de factures et de rapports de paiement, le support technique et la résolution de problèmes.

L'accès aux données personnelles du Responsable est limité aux employés et mandataires du Sous-traitant qui en ont besoin pour l'exécution de leurs obligations contractuelles. Une liste nominative des personnes autorisées est fournie sur demande.

§ 4 Obligations du Responsable

Le Responsable est seul responsable de la licéité du traitement des données des clients finaux, du respect du droit à la protection des données envers ses clients finaux, et de tous les contenus, cours, prix et prestations.

§ 5 Droit d'instruction du Responsable

Le Sous-traitant traite les données à caractère personnel exclusivement sur instruction documentée du Responsable conformément à l'Art. 28 al. 3 lit. a RGPD. Les instructions verbales doivent être confirmées sans délai par écrit (la forme textuelle par email suffit). Si le Sous-traitant considère qu'une instruction est contraire au droit applicable, il en informe immédiatement le Responsable et est en droit de suspendre l'exécution de cette instruction jusqu'à clarification.

§ 6 Mesures Techniques et Organisationnelles (MTO)

• Chiffrement : TLS/HTTPS pour tous les transferts
• Contrôle d'accès : Row Level Security (RLS), permissions basées sur les rôles
• Stockage des données dans l'UE : Serveur de base de données AWS eu-central-1 Francfort
• Sauvegarde : Sauvegardes automatiques quotidiennes
• Protection des mots de passe : Mots de passe stockés uniquement en hash bcrypt
• Surveillance : Surveillance en temps réel des événements liés à la sécurité
• Pseudonymisation : Lorsque cela est techniquement possible, les données personnelles sont traitées sous forme pseudonymisée
• Contrôle des saisies : Journalisation de tous les accès et modifications de données via des journaux d'audit
• Contrôle des traitements : Traitement uniquement conforme aux instructions documentées du Responsable
• Contrôle de la disponibilité : Stockage redondant des données, mécanismes de basculement automatique
• Principe de séparation : Séparation logique des données des différents studios (architecture multi-tenant avec Row Level Security)

§ 7 Sous-traitants Ultérieurs

Le Responsable consent à l'utilisation des sous-traitants suivants. Toute modification sera communiquée au moins 30 jours à l'avance. Lorsque des sous-traitants sont établis dans des pays tiers hors EEE, le transfert est effectué sur la base de clauses contractuelles types (CCT) conformément à l'Art. 46 al. 2 lit. c RGPD ou d'une décision d'adéquation équivalente de la Commission européenne.

§ 8 Droits des Personnes Concernées

Le Sous-traitant assiste le Responsable dans le traitement des demandes d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition conformément aux Art. 15–22 RGPD. Contact : hey@bookicorn.net. Après la fin du contrat : suppression des données dans les 30 jours ; export des données possible sur demande avant la résiliation.

§ 9 Droit d'Audit du Responsable

Le Responsable a le droit de vérifier la conformité du Sous-traitant avec le présent ATD et le RGPD. Les contrôles peuvent être effectués par des demandes de documentation, des questionnaires ou – avec un préavis raisonnable – par des inspections sur place. Le Sous-traitant fournit toutes les informations nécessaires pour démontrer la conformité et facilite les contrôles conformément à l'Art. 28 al. 3 lit. h RGPD.

§ 10 Notification des Violations de Données

En cas de violation de données à caractère personnel, le Sous-traitant notifie le Responsable sans délai et, si possible, dans les 72 heures suivant la prise de connaissance. La notification comprend : la nature de la violation, les catégories et le nombre approximatif de personnes et d'enregistrements concernés, les conséquences probables, et les mesures prises ou proposées. Lorsque toutes les informations ne sont pas disponibles simultanément, elles peuvent être fournies en plusieurs étapes.

§ 11 Confidentialité

Le Sous-traitant s'assure que toutes les personnes autorisées à traiter des données à caractère personnel sont soumises à une obligation de confidentialité et n'ont accès qu'aux données nécessaires à leurs tâches respectives (principe du besoin d'en connaître). Cette obligation perdure au-delà de la fin du contrat.

§ 12 Responsabilité

Chaque partie est responsable envers les personnes concernées des dommages causés par un traitement non conforme au RGPD, conformément à l'Art. 82 RGPD. Dans leurs relations internes, les parties sont responsables en proportion de leur part de responsabilité dans le dommage. Le Sous-traitant n'est responsable que s'il a manqué à ses obligations explicites au titre du présent ATD ou du RGPD. La responsabilité du Sous-traitant est limitée à la valeur annuelle du contrat, dans la mesure permise par la loi.

§ 13 Dispositions Finales

• Forme : Les modifications du présent ATD requièrent la forme textuelle (l'email suffit).
• Clause de sauvegarde : Si une disposition du présent ATD est ou devient nulle, cela ne porte pas atteinte à la validité des autres dispositions. Les parties remplacent la disposition nulle par une règle valide se rapprochant le plus de l'objectif économique visé.
• Droit applicable : Le droit de la République Fédérale d'Allemagne s'applique. Le tribunal compétent est, dans la mesure permise par la loi, Bexbach, Allemagne.
• Hiérarchie des normes : En cas de conflit entre le présent ATD et le contrat principal (CGU), le présent ATD prévaut en matière de protection des données.

§ 14 Contact

Unicorn Factory Media GmbH
In der Kolling 146, 66450 Bexbach, Allemagne
hey@bookicorn.net